Cerdic a écrit le 01/08/2019 à 09:37 :
2 règles de sécurité quand on ecrit du php dans un squelette :
TOUJOURS appliquer |texte_script a la fin d’un filtre qu’on injecte dans une variable PHP, et TOUJOURS utiliser des simples quotes

$toto = '[(#TRUC|filtre_ce_que_tu_veux|texte_script)]’;

Sinon oui c’est un trou béant (là je peux surement faire du remote code execution en envoyant une image fake avec un src foireux)
Merci pour ton éclairage.
J'ai sérieusement modifié le code suite à tes remarques.
https://zone.spip.net/trac/spip-zone/browser/spip-zone/_squelettes_/soyezcreateurs_net/trunk/plugins/soyezcreateurs/tuile.html?rev=116192

Qu'en penses-tu ?

--
RealET


----
spip-zone@rezo.net - https://listes.rezo.net/mailman/listinfo/spip-zone

Répondre à